Эксперты предупреждают о новой версии вредоносной программы ReaderUpdate, которая направлена на атаки на компьютеры Mac. Раньше она была создана на языке Python, но теперь авторы используют языки программирования Go, Rust, Nim и Crystal.
ReaderUpdate используется для установки рекламного софта Genieo, Dolittle и MaxOfferDeal. Хотя языки программирования меняются, функциональность программы остается той же.
С начала 2024 года появились новые серверы C2 для вариантов на Crystal, Nim и Rust, а недавно была найдена версия на Go.
Как и предыдущие версии, новый вредонос распространяется через установщики, которые маскируются под полезные программы, а также через сторонние сайты для загрузки программ. ReaderUpdate работает только на устройствах с архитектурой Intel x86.
Анализ версии на Go показал, что она собирает информацию об устройстве, создает уникальный идентификатор и отправляет его на сервер C2. Программа также может выполнять команды, полученные от сервера C2, что делает вредоносный загрузчик опасным.
На данный момент ReaderUpdate используется только для установки рекламных программ, но его архитектура позволяет легко заменить рекламный контент на более вредоносный.
Компания SentinelOne обнаружила девять образцов ReaderUpdate на Go, которые взаимодействуют с семью различными доменами C2. Однако эта версия встречается реже, чем версии на Nim, Crystal и Rust.
© KiberSec.ru – 03.04.2025, обновлено 03.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
